LINUX.ORG.RU

Если тебя беспокоит возможность кражи данных хостером то про vps забудь. Как минимум нужен физический сервер (хотя проверить что тебя не обманули и не подсунули vps - надёжно не получится), лучше - свой собственный, а ещё лучше - на своей (физически) территории.

Если же настолько не беспокоит что готов использовать vps, то по-моему незачем тратить силы на бесполезные шифрования.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от firkax

Ну не совсем соглашусь. Да - если скрываться от хостера как организации в целом или сотрудника хостера который охотится лично за твоими данными - то да, смысла нет. Но вот от случайной утечки поможет.

Qui-Gon ★★★★★
()
Ответ на: комментарий от Qui-Gon

Не могу представить сценарий, наглядно демонстрирующий твоё заявление. Всмысле, полную историю возникновения опасений и их последующей реализации.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)
Ответ на: комментарий от Qui-Gon

скрывать от хостера ничего не получится, ибо ключ доступа должон там же у хостера гдето лежать для старта системы.
да и будучи хитрожопо лежащим отдельно и запрашиваемым при старте снаружи, один фих зависнет в памяти, ибо для работы нужон. а память впс хостеру доступна чуть больше чем полностью.
и от случайной утечки не спасет, ибо стечь может всё в том числе и ключ в дампе памяти.
т.е. смысла нет.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от baja

дамп памяти включает в себя все регистры проца :)
хостер имеет более чем «рутовые» права на подконтрольную впс-систему.

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

ибо ключ доступа должон там же у хостера гдето лежать для старта системы.

Зачем ему это?

В теории, насколько я поминаю, если держать шифрованную ФС с ручным вводом пароля, то хотя бы от «положил образ твоей вируталки в карман и унёс домой» должно же уберечь.

Toxo2 ★★★★
()
Ответ на: комментарий от pfg

Есть еще одна квасика - пришел поработать на должность младшего уборщика, стащил что плохо лежит и уволился. Говоря о хостере вы тут имеете в виду каких-то мегаадминов которые будут дамп памяти выковыривать, дешитфровывать чего-то. Но осоновная массу утечек идет не через мегагуру а от всякой мелкой шушеры. И тут задача чтобы ваше просто плохо не лежало.

Qui-Gon ★★★★★
()
Ответ на: комментарий от Qui-Gon

Это не сценарий а одна строчка из него, которая непонятно какое в целом отношение к делу имеет. Я имею ввиду полную историю со всеми подробностями - чем занят сервер, почему ты боишься утечек, какие утечки могут случиться (описание каждой утечки: такие-то данные таким-то образом попали к такому-то человеку, и он таким-то вредоносным способом их реализовал), как оцениваешь их шансы (у каждой), как борешься, какая именно утечка случилась, как тебе это навредило, какой процент шанса реализовался в описанных событиях.

И так вот, фразе «от случайной утечки поможет» я тут хоть сколько-то значимого места не вижу.

firkax ★★★★★
()
Ответ на: комментарий от Toxo2

каждый раз будешь вводить ключ при старте впс ?? :) а они как обычно всегда происходят не вовремя.
ди в принципе пофих на это, хостер имеет неограниченный доступ к памяти впс, в которой находится ключ, ибо он нужен для доступа к зашифрованному носителю. хостер дампит память и вытаскивает оттуда ключ. скорей всего ты такое даже не заметишь. систему максимум остановят на долю секунды и все ок.

pfg ★★★★★
()
Ответ на: комментарий от Qui-Gon

сейчас даже мелкая шушера имеет достаточные познания чтобы. я вот вообще не имею отношения к ИТ-специальностям, просто общаясь/играясь с линухой, попутно набрался всякого…

pfg ★★★★★
()

Зависит то того, насколько приватны данные, которые ты там хранишь. Раз такой вопрос возник, то скорее имеет, чем нет.

CrX ★★★★★
()
Ответ на: комментарий от pfg

какой еще дамп?

разъясняю для трудных и самоуверенных

тебе дан сервер, который расшифрован удаленно через ссх, ключи от люкса лежат в xmm регистрах юсб отключен, загрузка новых модулей отключена

какой еще дамп ты собрался получать?

baja
()
Ответ на: комментарий от baja

любой из того, что имеется в системе :)
впс ставят на паузу, значения xmm-регистров (хоть чего-либо еще) сливают, впс снимают с паузы…. профит - никто ни чего не заметит :)
хостер имеет абсолютный доступ к твоей впс, мальчик.

pfg ★★★★★
()

Я шифрую. Понятно что можно из ОЗУ задампить, но если кто сопрёт диск/сервер или попробует с хоста пошариться по содержимому контейнера, не прочитает - уже хорошо.

sergej ★★★★★
()
Ответ на: комментарий от pfg

Ещё раз - пройди по цепочке ответов и вспомни историю диалога. Не надо отвечать не читая. Ты отвечал не на стартовый пост темы а влез в диалог.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от baja

Зависит от способа проведения этих действий. Чтобы надёжно закрыть все относительно простые способы - за пределами кристалла проца вообще не должно быть ничего незашифрованного ни в какой момент времени.

firkax ★★★★★
()
Ответ на: комментарий от firkax

согласен, х86 для этого не особо предназначена, всюду подпорки приходится лепить. но это минимум, что необходим.

тут как в анекдоте про убегающих от медведя и кроссовки «мне главно не убежать о тмедведя, а бежать быстрее тебя»

пока большинство ничего не шифрует, вероятность, что ради тебя колд-бут атаку будут предпринимать или кастомный фпга в ПСИе слот ставить сильно низкая

baja
()

1. Технологии

Всё базируется на возможностях процессоров:

Возможность шифрования ОЗУ VM есть в ПО для виртуализации:

2. Целесообразность.

На мой взгляд, это имеет смысл, и в будущем будет стандартом де-факто, примерно как сейчас становится всё более популярным шифрование дисков ноутбуков и телефонов.

Соответственно, кому-то это не нужно вообще (экономия важнее), кому-то — «ну пусть будет», кому-то это — критическое требование.

Есть куча векторов атаки (на бэкапы, на данные на диске, на данные в памяти, на сеть, на данные в БД и т.д.). Какие-то облака от этого лучше защищены, какие-то хуже.

3. Доступность.

Если говорить именно о шифровании памяти, то оно существует и оно используется в AWS и Azure.

По идее, крупные российские облака вполне могут шифровать ОЗУ VM, но это надо проверять.

У меня был следующий опыт: у Selectel’a был (может и есть) кластер VmWare, и когда я к ним обратился с пожеланием получить защищённую VM, то мне отказали (типа да, функционал такой в VmWare есть, но мы его не используем).

Harliff ★★★★★
()

в телеграме как я понимаю все основано на шифровании
шифруются не только протоколы, но и диски
понятно, что у них не впс-ки , а физические сервера
никто и никогда не слышал об утечке данных из телеграма
хотя у них сервера раскиданы по всему миру
а в том же сигнале утечки случаются

kto_tama ★★★★★
()